MASTUDIO移动开发平台
安全设计

移动开发平台的安全模式

一般用户都认为只要是手机安装客户端模式会比较安全,客户端模式相对于wap网页模式安全些,但是,打开手机就是应用,应用背后却还是一片黑,好像还不是很安全呢。

可以从移动终端安全机制、网络安全机制两个方面考虑:
无论是终端还是网络安全都可以从物理安全、系统安全、应用安全和数据安全等方面进行分析。

1、 物理安全:设备丢失带来了物理安全隐患
2、数据安全,数据传输的加密处理
3、隐私保护,身份认证PIN密码的加密处理,明文还是暗文
4、内容安全,交互协议的加密处理(HTTPS jabber 3DES加密体系) 移动终端安全机制

安全设计 Android组件的安全
Activity组件权限安全
Activity组件时用户唯一能够看见的组件,首先是访问权限控制,activity组件在制定Intent-filter后,默认是可以被外部程序访问的,也就意味着会被其他程序进行串谋攻击。
这里的其他程序指签名不同、用户id不同的程序,或者是签名相同且用户id相同的程序在执行同一个进程空间,彼此之间是没有组件访问限制的。

移动APP大多通过webAPI服务的方式跟服务端交互,这种模式把移动安全跟web安全绑在一起。移动app以web服务的方式跟服务端交互,服务器端也是一个展示信息的网站,常见的web漏洞在这也存在,比如说SQL注入、文件上传、中间件/server漏洞等,但是由于部分app不是直接嵌入网页在app中,而是使用的api接口返回josn数据,导致扫描器爬虫无法爬取链接。

Web类应用系统所面临的主要风险包括:
网络层面的攻击:利用工具和技术通过网络对系统进行攻击和入侵,
包括DDOS攻击、漏洞探测、嗅探(帐号、口令、敏感数据等)等。
Web应用程序攻击:利用web系统的漏洞对应用程序本身进行的攻击,如针对应用程序本身的DOS攻击、SQL注入、跨站攻击、网站挂马以及获取对web服务的控制权限等。

MASTUDIO 帮助与文档